WordPress新型恶意插件 窃取权限远程操控网站

据 Wordfence 安全研究团队披露，一种新型 WordPress 恶意软件正在悄然传播。该恶意程序以“安全工具插件”的身份出现，诱骗网站管理员下载安装，一旦激活即可赋予攻击者持久性的后台访问权限，严重威胁网站安全。

该恶意软件首次被发现是在 2025 年 1 月末的一次网站清理过程中。研究人员注意到某网站核心文件“wp-cron.php”遭到篡改，用于创建并激活一个名为“WP-antymalwary-bot.php”的恶意插件。进一步调查显示，该插件还会生成多个附属恶意组件，包括“addons.php”、“wpconsole.php”、“wp-performance-booster.php”以及“scr.php”等。

与传统恶意插件不同的是，这款恶意代码刻意隐藏在 WordPress 仪表盘之外，使用户难以察觉其存在。一旦激活，它会立刻通过“emergency_login_all_admins”功能为攻击者开辟后门。只需输入一个明文密码，攻击者便可绕过正常认证流程，获取数据库中第一个管理员账户的完全控制权。

更严重的是，即使管理员手动删除这些恶意插件，“wp-cron.php”也会在下一次网站访问时自动重新生成并激活它们。这种自我复活机制使得清除工作异常复杂。此外，由于服务器日志缺失，研究团队推测最初的感染途径可能是盗用的主机账户或 FTP 登录凭证。

该恶意软件还具备高度灵活性与破坏性，它通过自定义 REST API 路由向网站插入任意 PHP 代码，例如修改主题文件中的“header.php”，注入恶意 JavaScript 脚本。它还能清除缓存、执行命令，甚至进行横向渗透，危及整个服务器环境。

Wordfence 建议所有 WordPress 用户保持高度警惕，定期检查网站核心文件完整性，使用强密码与双因素认证，并从官方渠道安装插件。如怀疑站点已被入侵，应立即断开连接并寻求专业安全支持。

此次事件再次提醒我们，网络安全形势日益严峻，任何看似正规的插件都可能暗藏风险。唯有提升防护意识、加强系统审计，才能有效抵御此类高级恶意攻击。